La Loi 25, ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, est un sujet qui préoccupe de nombreux OBNL.  

Qu’en savez-vous? Êtes-vous préparé.e à ses implications? 

Si vous êtes du genre à vous sentir dépassé.e par l’ampleur de cette loi, vous n’êtes pas seul.e. La Loi 25 est complexe et son impact sur la gestion des renseignements personnels peut sembler énorme. 

Cela fait maintenant 2 mois que la deuxième phase de la Loi 25 est entrée en vigueur. Pour vous assurer que vous êtes bien conforme et que vous avez une compréhension solide de ses exigences, nous vous proposons de visionner la rediffusion de notre webinaire informatif animé par Jacques Lussier, directeur conseil des données, de l’intelligence d’affaires et du CRM chez Atypic. 

Ce webinaire aborde en détail les aspects clés de la Loi 25 et vous guide sur la voie de la conformité. C’est l’occasion parfaite de vous assurer que vous suivez toutes les bonnes pratiques et de répondre à vos questions. 

SOMMAIRE 

• Contexte général lié aux renseignements personnels : 5 min 37 s 
• Quelques informations utiles : 7 min 32 s 
• Vous devriez déjà… : 12 min 37 s
• Ce que vous devez savoir : 15 min 2 s
• Actions à prendre dès maintenant! : 18 min 
• Bonnes pratiques en matière de cybersécurité : 39 min 58 s
• En résumé : 52 min 20 s

Questions fréquentes sur la Loi 25 

1. La Loi 25 concerne-t-elle uniquement les renseignements liés au personnel des organisations?

Non, pas uniquement. La Loi 25 vise à protéger les renseignements personnels de toute personne, quel que soit son lien avec l’organisation qui collecte et utilise ces informations. Cela inclut la clientèle, les bénévoles, les donateur.trice.s et bien d’autres. 

2. Les renseignements personnels obtenus avant le 22 septembre 2023 sont-ils touchés par la Loi 25?

Absolument, la Loi 25 s’applique à tous les renseignements personnels, qu’ils aient été recueillis avant ou après le 22 septembre 2023. L’obtention d’un consentement explicite est obligatoire lorsque l’on détient des données sensibles, ce qui peut constituer un véritable défi pour les OBNL. Cependant, la Loi 25 comporte certains passages sujets à interprétation et les lignes directrices des instances légales n’ont pas encore été publiées en ce qui concerne les consentements.  

Quoi qu’il en soit, il est crucial de démontrer un engagement sérieux envers la conformité à la Loi 25 et de faire de la protection des renseignements personnels une priorité. 

3. Ma politique de confidentialité existante est-elle suffisante pour assurer la conformité en vertu de la Loi 25?

En général, une politique de confidentialité est un bon point de départ, mais il y a plus à faire pour être pleinement conforme à la Loi 25. Vous devez notamment vous assurer que l’ensemble de votre personnel comprend et applique cette politique. De plus, cette politique doit être claire et facilement accessible sur votre site web, sans utiliser un jargon juridique. 

4. Que doit faire une organisation pour se conformer à la Loi 25?

Pour vous conformer à la Loi 25, il est essentiel de nommer un responsable de la protection des renseignements personnels au sein de votre équipe (par défaut, la personne en plus haute autorité est nommée par la loi) et d’établir une politique claire et visible. Cependant, la démarche va plus loin et varie en fonction du type de données collectées et de leur utilisation. Notre expert et collègue Jacques Lussier recommande de commencer par cartographier les données détenues, en identifiant les types de données, le contexte de collecte, l’utilisation prévue, la durée de conservation et les personnes de l’organisation ayant accès à ces informations. Chaque organisation doit évaluer ses besoins spécifiques pour déterminer les mesures à prendre. 

5. Pourquoi la durée d’utilisation des renseignements personnels est-elle importante?

Établir un cycle de vie des renseignements personnels est essentiel. Il est nécessaire de ne conserver que les informations personnelles que vous utilisez. Vous devez également suivre les lois en vigueur concernant la durée de conservation de ces données. Il est crucial d’effectuer l’anonymisation ou la suppression des données après cette période et de maintenir un registre de ces procédures. 

6. Que se passe-t-il si mon organisation n’est pas conforme à la Loi 25?

Le non-respect de la Loi 25 peut avoir des conséquences graves, y compris des dommages-intérêts punitifs imposés par un tribunal, des sanctions administratives pécuniaires importantes et des poursuites pénales, mais également des conséquences liées à l’image de l’organisation. Les implications légales varient en fonction du degré de non-conformité et de la gravité des violations. 

7. Comment puis-je m’assurer que mon organisation est pleinement conforme?

Les OBNL ont souvent des ressources limitées et sont confrontés à des contraintes budgétaires qui les poussent parfois à négliger des dossiers importants, comme la conformité à la Loi 25. Il est essentiel de rappeler que les données personnelles utilisées par votre organisation ne vous appartiennent pas, et il est recommandé de faire preuve de prudence dans leur gestion. Pour déterminer le niveau de conformité approprié à votre situation et l’atteindre, il est vivement conseillé de faire appel à des expert.e.s externes pour analyser votre dossier et vous aider à mettre en œuvre les mécanismes et correctifs nécessaires. 

 

---

Vous aimeriez obtenir un accompagnement personnalisé?  

Chez Atypic, nous proposons des services de consultation sous forme de banque d’heures pour vous aider à évaluer le niveau de risque et de sensibilité de vos données ou rédiger un premier projet de politique de confidentialité. Cependant, il est impératif de faire valider l’ensemble par un.e avocat.e pour assurer une conformité complète à la loi. 

Contactez-nous!